WordPress hat den Ruf, nicht unbedingt das sicherste System zu sein. In erster Linie liegt das aber nicht am System selbst, sondern an seiner massiven Verbreitung. WordPress ist mit Abstand das am meisten genutzte CMS weltweit. Kombiniert wird dies durch ein riesiges Ökosystem an Plug-Ins, also Zusatzmodulen, die das CMS erweitern. Es ist Open Source und jeder kann ein Plug-In schreiben und es veröffentlichen. Leider werden die Plug-Ins manchmal unsauber geschrieben aber in der Regel achtet ein sorgloser Website-Besitzer einfach nicht darauf, regelmäßig Sicherheitsupdates für das Grundsystem und für die Plug-Ins einzuspielen.
Für Hacker lohnt sich daher der Arbeitsaufwand, immer nach Schwachstellen zu forschen und diese gezielt zu scannen.
- An erster Stelle, die einfachste Sache, die aber regelmäßig durchgeführt werden sollte: Backup von WordPress, aller Medien, Plug-Ins und Themes. Das Ganze unbedingt vorher testen.
Wir haben hier sehr gute Erfahrungen mit Updraft gemacht, aber es gibt eine Menge auch kostenloser Backup Plug-Ins für WordPress. Probieren Sie aber unbedingt auch das Zurückspielen aus! Im Schadensfall wollen Sie nicht auf einem Backup sitzen, dass Ihnen überhaupt nichts nützt, weil das Zurückspielen nicht funktioniert. - Die Lese/und Schreiberichte der Dateien auf dem Server nach folgender Sicherheitsstufe vergeben:
wp-config: 600,
andere Dateien: 644,
Verzeichnisse: 755
Eine gute Übersicht zu empfohlenen Lese- und Schreibrechten auf Web-Servern. - Die WordPress Security-Schlüssel
(AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY)
neu vergeben.
Auf dieser Website können Sie sie neu erzeugen lassen:
https://api.wordpress.org/secret-key/1.1/salt/
Ersetzen Sie dann damit die Werte in Ihrer wp-config.php im Hauptverzeichnis Ihrer WordPress Installation.
Weitere Absicherungen:
- Lesen von Verzeichnissen und sensitiven Dateien via Webbrowser untersagen.
- Das Ausführen von PHP-Dateien im Verzeichnis wp-includes untersagen.
- Das Ausführen von PHP-Dateien im Verzeichnis wp-upload untersagen.
- Absichern der wp-config Datei
- Pingbacks deaktivieren
- Nicht benutzte Scriptsprachen deaktivieren
- Das Ausführen von PHP Dateien in Cache Verzeichnissen untersagen
- Autorenscans deaktivieren
- Umleitung Standard Login Seite auf eine “geheime” Seite
- Anmeldeversuche mit Benutzernamen „admin” verbieten
- Verdächtige IPs blockieren
